모바일 부고 알림 부모님 별세를 악용한 스미싱 사이트-lms(.)appliveko(.)com

오늘은 부고 알림 부모님 별세를 악용한 스미싱 사이트인 lms(.)appliveko(.)com(2023.12.11) 에 대해 알아보겠습니다.
일단 문자는 다음과 같이 비슷하게 옵니다.

부모님께서 별세 하셨기에 아래와 같이 부고를 전해 드립니다.장례식장
부모님 마지막 가시는길 외롭지 않게 부디 오셔서 참석하여주세요.
[Web발신][부고]18일 저녁 10시경 부친께서 별세하셨습니다. 안내 
[Web발신][부고]23일 저녁 12시경 귀하의 조부께서 별세하셨습니다.안내
[訃告]부모님께서 별세 하셨기에 아래와 같이
부고를 전해드립니다
사랑하는 모친께서 별세하셨으므로 삼가 알려 드립니다.
부친께서 어제 새벽 2시에 별세하셨기에 삼가 알려 드립니다.
존경하신 부친께서 오랜 시간 동안 투병하시다 별세하셨습니다.알려드립니다.장례식장주소:
저기서 날짜는 하고 시간은 변경될 것입니다. 진짜 부고 알림 일 경우 속을 수가 있을 수가 있으니 주의하시길 바랍니다.
이번에는 기존에서는 한국어를 사용하다가 한자로 변경된 부분을 확인할 수가 있었습니다.
일단 사이트에 접속하면 다음과 같이 접속이 되는 것을 확인할 수가 있습니다.

피싱 사이트 접속 경로

https://t(.)ly/56ER1 ->https://lms.appliveko(.)com/

뭐 내용은 다음과 같습니다
본인의 부친께서 그동안 오랜 병중에 계시다가 어제 밤 돌아가셨습니다.
저희 가족들은 현재 많은 슬픔 가운데 있으며
아버님의 명복을 빌고 있습니다.
이후 장례절차는 아래와 같이 진행이 되므로
문상 삼고 해 주시기를 부탁드립니다.
이라고 되어져 있는데 해당 부분은 웹 소스를 보면 팝업 형식으로 돼 있는 것을 확인할 수가 있습니다.

모바일 부고 알림 부모님 별세를 악용한 스미싱 메인 화면

<div class="preview-main" data-css='{&#34;color&#34;:&#34;#ffffff&#34;,&#34;backgroundColor&#34;:&#34;#ffffff&#34;}'>
    <!--div class="phone-wrapper"-->
        <!--div class="phone-header"></div-->
        <div class="phone-body">
            <!--iframe id="wrapper" name="card" src="https://dibai(.)invit(.)vip/s/2a4d26?v(=)v3&amp;pc=0" frameborder="0" width="100%" height="100%"></iframe-->
			<img src="/img/2(.)gif" id="wrapper" width="100%" height="100%" onclick="javascript:downAlert();">

        </div>

피싱 사이트 웹 이미지 호출 및 클릭 이벤트 함수

코드 설명

preview-main 클래스를 가진 주요 컨테이너가 있고, 그 안에는 이미지(img` 태그)와 관련된 이벤트 처리 함수(downAlert())가 있으며 또한 데이터 속성을 사용하여 CSS 스타일을 정의하고 있음
해당 스타일은 흰색 텍스트`#ffffff)와 배경색(#ffffff)을 지정하고 있고 이미지는 경로가 /img/2(.)gif로 지정 클릭 이벤트가 발생하면 downAlert() 함수가 호출
그리고 다음 소스를 통해서 작동을 이어 갑니다.

<script>
	function downAlert(){
		alert("장례식장 장소와 시간을 보기 위하여 확인을눌러주세요.");
		window.open("down(.0php");
	}
    var $main = $('.preview-main');
    var css_obj = $main.data('css');
    $main.css('background-color', css_obj.backgroundColor);

    $('.J_prev').on('click', ()=>{
        tabPage(1)
    });
    $('.J_next').on('click', ()=>{
        tabPage(-1)
    });
    var wrapper = document.getElementById('wrapper');
    function tabPage(is_up) {
        wrapper.contentWindow(.)postMessage(is_up, '*');
    }
	//window.open("down(.)php");

그러며 클릭 이벤트가 발생해서 다음과 같이 출력이 됩니다.

코드 설명

JavaScript로 작성되었으며 다양한 기능을 수행하는 함수와 이벤트 핸들러가 포함
1. downAlert() 함수는 경고창을 띄우고 장례식장 장소와 시간을 보려고 확인을 눌러주세요. 메시지를 표시하고, down(.)php 페이지를 새 창으로 열기
2. 스타일을 동적으로 변경하는 부분에서는 jQuery를 사용하여 preview-main 클래스를 가진 요소의 배경색을 설정하고 있음
3. 이동 버튼(.J_prev 및 .J_next)을 클릭할 때 tabPage() 함수가 호출되며, 해당 함수는 wrapper 요소의 내용 창에 메시지를 전송
4. 주석 처리된 //window(.)open("down(.)php"); 부분은 현재 비활성화 되었있음
해당 코드는 화면 간 전환, 스타일 조작, 이벤트 처리 등 다양한 웹페이지 동작을 다루고 있으며
장례식장 장소와 시간을 보려고 확인을 눌러주세요. 팝업과 그리고 삼가 모바일부고장(.)apk를 다운로드 해서 사용자가 설치하게 합니다.
파일명:삼가 모바일부고장.apk
사이즈:3.62 MB
MD5:6f6916459b21db68ac546cc5ca7a3292
SHA-1:4a0fa83f50588ab773ec74ed0fa48f6a086a33c6
SHA-256:176cc3685f7fb769ecd5aecb20b09bdfc63edd246a4c7aff3a98fb2b42b8d43c
어차피 악성코드 이기 떄문에 일단 국내 보안 업체인 V3는 당연히 탐지 하고 있으며 기타 유명 보안 업체들도 탐지 하고 있습니다.
Raw 값은 다음과 같습니다.

HTTP Debugger Pro 본 스미싱 악성코드 다운로드 과정

GET /down(.)php HTTP/1(.)1
Host: lms(.)appliveko(.)com
User-Agent: Mozilla/5.0 (Linux; Android 14; SAMSUNG SM-S918N) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/22.0.3.1 Chrome/118.0.0.0 Mobile Safari/537.36
Accept: text/html,application/xhtml(+)xml,application/xml;q=0.9,image/avif,image(/)webp,*/*;q=0.8
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Prefer: safe
DNT: 1
Sec-GPC: 1
Connection: keep-alive
Cookie:PHPSESSID=4hf3msnp(a)sr7t01jd5o27u0mq2
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest:document
Sec-Fetch-Mode:navigate
Sec-Fetch-Site:same-origin
Sec-Fetch-User:?1
Accept-Encoding:gzip, deflate
입니다. 즉 기본적으로 백신 앱을 사용을 하는 것을 추천하며 최소 V3 정도는 설치해서 사용하면 구글 플레이 스토어 에서도 악성코드도 발견되고 있기 때문에 항상 조심해서 사용하시면 됩니다.
물론 무료 V3는 광고 포함이기 때문에 조금만 돈을 투자해서 광고를 없애고 사용을 하거나 아니면 13,000원 정도며 개인적으로 사용하는 Eset(이셋) AV-TEST에서 좋은 제품들을 선택할 수가 있습니다. 무료는 어떻게 보면 한계가 있고 악성코드 감염을 통해서 피해 보는 금전적인 피해보다 2만 원 정도 지급을 하는 것을 추천합니다.